Szyfrowanie jest kluczem do skutecznej ochrony sieci w firmie

Dane przedsiębiorstwa to nie tylko dane osobowe. Jeśli chcemy je chronić, powinniśmy kryptograficznie zabezpieczyć firmową sieć, firmowe komputery i dyski przed dostępem niepowołanych osób. Jednak takie zabezpieczenia nie działają, jeśli dostawca internetu dla firmy działa na bazie zyskującej coraz większą popularność technologii chmury. Aplikacje do wymiany danych Microsoft, Google, Facebook działają właśnie w chmurze. Jeśli korzystamy z nich, to nasze wewnętrzne zabezpieczenia są niewystarczające, bo nie wiemy, gdzie znajdują się serwery chmury i czy wystarczająco zabezpieczają transferowane dane. Zabezpieczenia kryptograficzne są jak dobra aplikacja ochronna. Warto za nie zapłacić, po to by zyskać pewność, że dane firmy są zabezpieczone.

W niektórych krajach europejskich, np. we Francji, przepisy prawa wymagają od indywidualnych internautów, tym bardziej od użytkowników korporacyjnych, zabezpieczenia komputerów aplikacjami ochronnymi. Takie inicjatywy regulacyjne są pochodną głośnych incydentów, które pokazują, jak groźne jest korzystanie z niedostatecznie zabezpieczonych zasobów IT; mam na myśli np. ogromne wycieki danych klientów instytucji finansowych itp. Oczywiście sam wymóg prawny to za mało. Z reguły wprowadzaniu przepisów towarzyszy kampania edukacyjna mająca na celu kształtowanie właściwych postaw. Niestety wciąż nie ma europejskich standardów w zakresie należytego zabezpieczenia firmowych zasobów IT i to daje hakerom ogromne pole do działania.

Wiele firm, szczególnie z sektora małych i średnich przedsiębiorstw, wychodzi z założenia, że wystarczy zainstalować antywirusa. W dużych korporacjach z kolei przyjmuje się, że użytkownicy firmowych systemów zatroszczą się o bezpieczeństwo, a przecież to nie należy do zakresu ich odpowiedzialności. Coraz bardziej powszechne staje się zjawisko telepracy. Pracownicy logują się i uzyskują dostęp do firmowych zasobów gdzieś z terenu czy z domu. Analizy pokazują, że praktykowaniu takiego sposobu działania nie towarzyszy troska o bezpieczeństwo. Firmy korzystają z gotowych produktów zabezpieczających, ale rzadko stosują narzędzia kryptograficzne. Jeśli dostęp do zasobów firmy z zewnątrz nie jest szyfrowany, to znów dochodzi do otwarcia bramy dla cyberprzestępców, którzy z narastającą pasją napadają na firmy. Dobrej jakości kryptografia jest matką solidnego zabezpieczenia.

Wprowadzenie rozwiązań kryptograficznych w firmie nie jest zadaniem dla przeciętnych użytkowników komputerów. Zastosowanie w firmowej sieci prostych, zwykle wystarczających w odniesieniu do pojedynczego komputera technik szyfrowania może całkowicie skompromitować bezpieczeństwo wdrożonego protokołu. Konstrukcja występującej tu funkcji szyfrowania umożliwia stosunkowo łatwe odgadnięcie tajnego klucza zaszytego w aplikacji wprowadzanej do sieci. Lepiej więc zostawić specjalistom implementację funkcji kryptograficznych. Zasada ta powinna oznaczać nie tylko zakaz implementacji prywatnych algorytmów szyfrujących, ale także pozornie oczywistego wykorzystania sprawdzonych algorytmów.

@RY1@i02/2011/106/i02.2011.106.130.0009.001.jpg@RY2@

Fot. Materiały prasowe

Eric Domage, analityk bezpieczeństwa IT w korporacji IDC

ROZMAWIAŁ KRZYSZTOF POLAK